2025年网络安全从业人员资格考试试题与解析.docxVIP

2025年网络安全从业人员资格考试试题与解析

一、单项选择题（共20题，每题2分，共40分）

1.某企业部署了基于SM2算法的数字签名系统，当用户A向用户B发送加密数据时，以下哪项操作符合SM2标准流程？

A.用户A使用自己的私钥对数据签名，用户B使用用户A的公钥验证签名

B.用户A使用用户B的公钥对数据加密，用户B使用自己的私钥解密

C.用户A使用对称密钥加密数据，用户B使用相同对称密钥解密

D.用户A使用自己的公钥对数据签名，用户B使用用户A的私钥验证签名

解析：正确答案为A。SM2是我国自主的椭圆曲线公钥密码算法，主要用于数字签名、密钥交换和公钥加密。数字签名的核心流程是签名者用私钥生成签名，验证者用签名者的公钥验证。选项B描述的是公钥加密场景（SM2也支持），但题干明确为“数字签名系统”，故不选；选项C是对称加密流程（如SM4），与SM2无关；选项D混淆了公钥与私钥的用途，私钥仅用于签名生成，公钥用于验证。

2.某公司发现员工终端频繁出现异常网络流量，经分析发现流量特征为：目标IP分散但端口集中在445，数据包包含“SMB”协议标识，且部分数据包载荷中存在“永恒之蓝”漏洞特征码。最可能的攻击类型是？

A.DDoS攻击

B.勒索软件攻击

C.零日漏洞利用

D.钓鱼攻击

解析：正确答案为B。445端口是SMB（服务器消息块）协议默认端口，“永恒之蓝”（EternalBlue）是针对SMB协议的远程代码执行漏洞（CVE-2017-0144），常被勒索软件（如WannaCry）利用。DDoS攻击以流量洪泛为特征，与“异常流量但目标分散”不符；零日漏洞指未公开漏洞，而“永恒之蓝”已公开多年；钓鱼攻击依赖社会工程诱导用户点击，与协议层漏洞利用无关。

3.依据《个人信息保护法》，以下哪项处理个人信息的行为无需取得个人同意？

A.某医院为统计癌症患者治疗效果，匿名化处理后使用患者诊疗数据

B.某电商为向用户推送个性化广告，收集用户浏览记录

C.某银行因用户逾期未还款，将用户个人信息提供给第三方催收机构

D.某学校将学生成绩排名在家长群中公示

解析：正确答案为A。《个人信息保护法》第十三条规定，匿名化处理后的信息不属于个人信息，无需取得同意。选项B属于个性化推荐，需取得用户同意（或单独同意）；选项C涉及向第三方提供个人信息，需明确同意；选项D公示成绩排名可能涉及敏感个人信息（如未成年人信息），需额外保护。

4.某企业采用OAuth2.0协议实现第三方登录，若授权服务器向客户端返回的访问令牌（AccessToken）未包含“scope”字段，可能导致的安全风险是？

A.令牌重放攻击

B.权限越界

C.中间人攻击

D.令牌泄露

解析：正确答案为B。OAuth2.0中“scope”字段用于限定令牌的权限范围（如“读取用户信息”“修改账户”）。若未包含该字段，客户端可能获得超出授权的权限（如本应仅能读取信息却能修改账户），导致权限越界。令牌重放攻击主要与令牌的防重放机制（如随机数、时间戳）相关；中间人攻击需结合通信加密漏洞；令牌泄露与存储/传输安全有关，均与“scope”无关。

5.某工业控制系统（ICS）的PLC（可编程逻辑控制器）与SCADA（监控与数据采集系统）通信使用ModbusRTU协议，若要增强其通信安全，最有效的措施是？

A.部署入侵检测系统（IDS）

B.对Modbus消息添加CRC校验

C.采用AES加密Modbus载荷

D.限制PLC的物理访问

解析：正确答案为C。ModbusRTU是工业领域常用的明文协议，缺乏加密机制，易被窃听或篡改。AES加密载荷可直接解决通信内容泄露问题。IDS是检测手段，无法防止攻击；CRC校验仅用于错误检测，无法抵御恶意篡改；限制物理访问可防范物理攻击，但无法解决网络传输中的安全问题。

二、多项选择题（共10题，每题3分，共30分，少选得1分，错选不得分）

1.以下属于网络安全等级保护2.0中“安全通信网络”层面要求的有？

A.网络设备支持基于IP地址和端口的访问控制

B.重要通信链路具备冗余备份

C.用户终端安装防病毒软件

D.通信数据在传输过程中采用加密措施

解析：正确答案为ABD。等保2.0将安全要求分为“安全物理环境”“安全通信网络”“安全区域边界”“安全计算环境”“安全管理中心”五个层面。“安全通信网络”关注网络架构、通信保护和链路备份，A（访问控制）、B（冗余备份）、D（传输加密）均属于此范畴；C（终端防病毒）属于“安全计算环境”的终端安全要求。

2.